引言

隨著數(shù)字化轉(zhuǎn)型的深入及數(shù)字經(jīng)濟(jì)的蓬勃發(fā)展，網(wǎng)絡(luò)空間迅速擴(kuò)張到生產(chǎn)生活的方方面面。網(wǎng)絡(luò)技術(shù)的普及與進(jìn)步，一方面降低了成本，促進(jìn)了生產(chǎn)；另一方面，網(wǎng)絡(luò)空間因其復(fù)雜的依賴關(guān)系又呈現(xiàn)出前所未有的不穩(wěn)定性和風(fēng)險(xiǎn)。網(wǎng)絡(luò)威脅表現(xiàn)出的不可預(yù)測(cè)性、極端不確定性和快速演變等使得網(wǎng)絡(luò)安全防御問題愈發(fā)突出，尤其是針對(duì)系統(tǒng)未知漏洞后門的不確定性威脅和高級(jí)持續(xù)性威脅(Advanced Persistent Threat，APT)令人防不勝防[1]。既然無(wú)法實(shí)現(xiàn)絕對(duì)安全的防護(hù)，那么必須要進(jìn)一步提高對(duì)目前這種高危網(wǎng)絡(luò)環(huán)境的適應(yīng)性，確保即使在網(wǎng)絡(luò)攻擊環(huán)境下也要順利完成任務(wù)[2]。因此，網(wǎng)絡(luò)系統(tǒng)的防護(hù)重點(diǎn)應(yīng)從單純的網(wǎng)絡(luò)保護(hù)向遭受攻擊后仍能確保核心任務(wù)準(zhǔn)確完成方向轉(zhuǎn)變，必須適應(yīng)不斷變化的威脅，保持重要的系統(tǒng)功能并從攻擊的影響中恢復(fù)，即具備“網(wǎng)絡(luò)彈性”。

網(wǎng)絡(luò)彈性被定義為使用網(wǎng)絡(luò)資源或由網(wǎng)絡(luò)資源支持的系統(tǒng)面對(duì)不利條件、壓力、攻擊或損害情況下的預(yù)防、抵御、恢復(fù)和適應(yīng)能力[3]。網(wǎng)絡(luò)彈性強(qiáng)調(diào)從任務(wù)視角去保障系統(tǒng)，重點(diǎn)考慮如何在防護(hù)失效的情況下也能確保任務(wù)達(dá)成。隨著攻擊者們?nèi)肭帜芰Φ脑鰪?qiáng)，安全形勢(shì)進(jìn)一步惡化，網(wǎng)絡(luò)彈性戰(zhàn)略正在逐步成為應(yīng)急響應(yīng)管理計(jì)劃的重中之重。為了實(shí)現(xiàn)彈性，需要考慮整個(gè)系統(tǒng)周期，包括設(shè)計(jì)、構(gòu)建、分配、安裝以及投入運(yùn)行，從開始直到系統(tǒng)結(jié)束使用都應(yīng)該部署網(wǎng)絡(luò)彈性，以促進(jìn)各子系統(tǒng)之間的協(xié)調(diào)性，維護(hù)網(wǎng)絡(luò)系統(tǒng)業(yè)務(wù)平穩(wěn)運(yùn)營(yíng)[4]。

近年來(lái)一些研究提出了不同的技術(shù)及策略用以增強(qiáng)網(wǎng)絡(luò)彈性，如NIST網(wǎng)絡(luò)彈性工程給出了一個(gè)方法庫(kù)[3]，但整個(gè)方法庫(kù)中的目的、目標(biāo)、技術(shù)、方法、設(shè)計(jì)原則等內(nèi)容，彼此之間更多是并列的可選項(xiàng)，缺乏邏輯和構(gòu)造上的層次關(guān)系、先后順序分析和系統(tǒng)性增益考量，對(duì)網(wǎng)絡(luò)彈性開發(fā)的可操作性缺乏顯而易見的指導(dǎo)。同時(shí)，網(wǎng)絡(luò)彈性技術(shù)方法原則均是以目標(biāo)對(duì)象功能或性能異常可感知為前提，能夠發(fā)現(xiàn)企圖利用目標(biāo)對(duì)象漏洞的外部攻擊，但無(wú)法解決基于未知漏洞后門的不確定性威脅問題。

為解決“未知的未知”威脅問題，鄔江興院士及其團(tuán)隊(duì)借鑒系統(tǒng)工程理論、可靠性設(shè)計(jì)理論、生物仿生和免疫理論等，在國(guó)際上首次提出“結(jié)構(gòu)決定安全”新理念，開創(chuàng)了基于信息系統(tǒng)架構(gòu)設(shè)計(jì)的網(wǎng)絡(luò)空間內(nèi)生安全新范式[5]。內(nèi)生安全理論首先定義了內(nèi)生安全問題，即任何事物，如果在本征功能外還存在不良(或非期望)的副作用、暗功能，或者一個(gè)系統(tǒng)或模型內(nèi)存在由構(gòu)造決定的互為依存又存在矛盾關(guān)系的“內(nèi)生或內(nèi)源性因素”，稱為內(nèi)生安全問題[6]。對(duì)于網(wǎng)絡(luò)空間而言，軟件設(shè)計(jì)的脆弱性問題盡管人們很早就認(rèn)識(shí)到并為之進(jìn)行了不懈努力，但至今也沒有找到理想的解決方案。

內(nèi)生安全理論指出，網(wǎng)絡(luò)安全防御領(lǐng)域存在三個(gè)核心的技術(shù)要素，即動(dòng)態(tài)性/隨機(jī)性(Dynamics/randomness)、多樣性/異構(gòu)性(Variety/heterogeneity)、冗余性(Redundancy)，對(duì)于增加不確定性和防范未知威脅至關(guān)重要。并且，如果不能獲得三個(gè)核心要素(D、V、R)的完全交集，那么就無(wú)法防范網(wǎng)絡(luò)空間未知安全威脅問題[7]?；谏鲜鏊枷?，內(nèi)生安全理論提供了具有創(chuàng)新性的動(dòng)態(tài)異構(gòu)冗余(Dynamic Heterogeneous Redundancy，DHR)廣義魯棒賦能架構(gòu)，能夠在不依賴先驗(yàn)知識(shí)前提下有效抑制構(gòu)造內(nèi)存在的“已知的未知”“未知的未知”異常擾動(dòng)導(dǎo)致的不利影響，自然地獲得高可靠、高可信和高可用三位一體的內(nèi)生安全屬性，聚焦于支撐組織使命及業(yè)務(wù)的能力，賦能網(wǎng)絡(luò)系統(tǒng)具備網(wǎng)絡(luò)彈性。

基于上述理念，本文提出了內(nèi)生安全架構(gòu)賦能網(wǎng)絡(luò)彈性工程，詳細(xì)介紹了內(nèi)生安全構(gòu)造在網(wǎng)絡(luò)彈性整個(gè)生命周期的賦能方法：預(yù)防環(huán)節(jié)實(shí)現(xiàn)未知威脅的感知識(shí)別；抵御環(huán)節(jié)提供對(duì)基于漏洞后門的網(wǎng)絡(luò)攻擊以及緣于隨機(jī)錯(cuò)誤的系統(tǒng)故障的綜合抵御能力；恢復(fù)環(huán)節(jié)利用異構(gòu)資源快速進(jìn)行故障組件的替換和系統(tǒng)重構(gòu)，迅速恢復(fù)服務(wù)能力；適應(yīng)環(huán)節(jié)可通過(guò)智能的策略裁決與異構(gòu)資源調(diào)度實(shí)現(xiàn)自適應(yīng)的系統(tǒng)演進(jìn)。

1 相關(guān)工作

1.1 網(wǎng)絡(luò)彈性

“網(wǎng)絡(luò)彈性”是美國(guó)學(xué)術(shù)界提出的概念，最早可以追溯到MITRE于2010年發(fā)表的文章[2]。不同于網(wǎng)絡(luò)安全，網(wǎng)絡(luò)彈性強(qiáng)調(diào)從系統(tǒng)基本任務(wù)功能的角度出發(fā)，要求這些基本功能在經(jīng)受威脅攻擊、誤操作或是意外事故時(shí)仍然能運(yùn)作其基本任務(wù)業(yè)務(wù)功能，并能完成恢復(fù)功能、適應(yīng)此類狀態(tài)的過(guò)程，網(wǎng)絡(luò)彈性可能讓網(wǎng)絡(luò)資源在不利條件下局部受損，不會(huì)保證系統(tǒng)的安全性和完整性。網(wǎng)絡(luò)彈性來(lái)源于網(wǎng)絡(luò)設(shè)備自身的功能和安全設(shè)計(jì)、以及網(wǎng)絡(luò)架構(gòu)的各種配置策略和響應(yīng)機(jī)制，要求基礎(chǔ)設(shè)備、體系架構(gòu)、運(yùn)行機(jī)制等方面具備風(fēng)險(xiǎn)預(yù)測(cè)能力、主動(dòng)抵御能力、功能快速恢復(fù)能力、動(dòng)態(tài)調(diào)整適應(yīng)能力。MITRE將網(wǎng)絡(luò)彈性定義為網(wǎng)絡(luò)資源面對(duì)不利條件，承受壓力、攻擊或者損害環(huán)境下的預(yù)防、抵御、恢復(fù)和適應(yīng)的能力[3]。在此基礎(chǔ)上，提出了網(wǎng)絡(luò)彈性工程框架，涵蓋4個(gè)目的(goal)(預(yù)防、抵御、恢復(fù)和適應(yīng))以及衍生出來(lái)的8項(xiàng)目標(biāo)(objective)和14項(xiàng)技術(shù)集合。網(wǎng)絡(luò)彈性的概念得到美國(guó)軍方乃至美國(guó)聯(lián)邦政府的高度重視之后，美國(guó)政府部門的多個(gè)機(jī)構(gòu)也從各自的視角對(duì)網(wǎng)絡(luò)彈性的概念和理解進(jìn)行了闡述，其重點(diǎn)仍是“以風(fēng)險(xiǎn)管理框架為指導(dǎo)方法”，“建立起可防御的、可生存的、可信賴的系統(tǒng)”。

盡管網(wǎng)絡(luò)彈性的概念得到了各方的高度重視，被認(rèn)為是關(guān)鍵基礎(chǔ)設(shè)置和網(wǎng)絡(luò)防御的戰(zhàn)略焦點(diǎn)，但是圍繞如何構(gòu)建優(yōu)良的網(wǎng)絡(luò)彈性系統(tǒng)架構(gòu)的研究仍然充滿挑戰(zhàn)。本文將當(dāng)前網(wǎng)絡(luò)彈性的瓶頸問題主要總結(jié)為以下幾點(diǎn)。

1)缺乏一體化架構(gòu)支撐。從開發(fā)網(wǎng)絡(luò)彈性系統(tǒng)工程的初期，探索構(gòu)建優(yōu)良的網(wǎng)絡(luò)彈性系統(tǒng)體系架構(gòu)就始終是網(wǎng)絡(luò)安全和網(wǎng)絡(luò)彈性學(xué)術(shù)界和工業(yè)界高度關(guān)注的問題。但目前為止在SoS項(xiàng)目中可檢索到的研究仍沒有取得明顯突破。

2)回避未知攻擊挑戰(zhàn)?，F(xiàn)有網(wǎng)絡(luò)彈性工程框架的出發(fā)點(diǎn)是以保障關(guān)鍵任務(wù)和業(yè)務(wù)流程順利執(zhí)行為核心目的，主要強(qiáng)調(diào)在發(fā)現(xiàn)任務(wù)或業(yè)務(wù)異常后能夠及時(shí)克服異常并恢復(fù)正常服務(wù)，思維視角主要是通過(guò)對(duì)任務(wù)或業(yè)務(wù)異常(尤其是中斷等顯性異常)的檢測(cè)和感知來(lái)觸發(fā)恢復(fù)，對(duì)未知網(wǎng)絡(luò)攻擊導(dǎo)致的隱性任務(wù)或業(yè)務(wù)異常關(guān)注不夠，特別是難以察覺的任務(wù)或業(yè)務(wù)異常。

為解決上述難題，我們可以從內(nèi)生安全理論中尋找一些啟示。

1.2 內(nèi)生安全

一般來(lái)說(shuō)，任何事物如果在本征功能外還存在不良(或非期望)的副作用、暗功能，或者一個(gè)系統(tǒng)或模型內(nèi)存在由構(gòu)造決定的互為依存又存在矛盾關(guān)系的“內(nèi)生或內(nèi)源性因素”，稱為內(nèi)生安全問題[6]。2013年起，鄔江興院士率領(lǐng)團(tuán)隊(duì)開創(chuàng)性地提出了內(nèi)生安全理論。該理論將當(dāng)前網(wǎng)絡(luò)安全防御范式的思維視角從“亡羊補(bǔ)牢”的被動(dòng)防御變換為不依賴(但不排斥)先驗(yàn)知識(shí)的主動(dòng)防御，從“封門補(bǔ)漏”的方法論轉(zhuǎn)變?yōu)榛凇皹?gòu)造決定安全”的系統(tǒng)工程論，從“盡力而為”的不確定實(shí)踐規(guī)范躍遷為安全性可量化設(shè)計(jì)與驗(yàn)證度量的精確實(shí)踐規(guī)范。網(wǎng)絡(luò)空間普遍存在內(nèi)生安全共性問題，實(shí)現(xiàn)網(wǎng)絡(luò)空間的內(nèi)生安全則是避免內(nèi)生安全共性問題帶來(lái)的功能安全風(fēng)險(xiǎn)或威脅。需要注意的是，內(nèi)生安全共性問題通常不會(huì)直接產(chǎn)生負(fù)面性影響，它們只有在受到外部因素?cái)_動(dòng)情況下才有可能構(gòu)成功能安全風(fēng)險(xiǎn)或威脅[7]。比如，未知漏洞需要被發(fā)現(xiàn)然后構(gòu)造基于漏洞的攻擊才能威脅網(wǎng)絡(luò)空間的功能安全，后門則需要攻擊者激活后門才能執(zhí)行網(wǎng)絡(luò)攻擊。也就是說(shuō)，攻擊者需要發(fā)現(xiàn)網(wǎng)絡(luò)空間存在的內(nèi)生安全共性問題，才能通過(guò)可達(dá)的攻擊面及可利用的軟硬件資源，進(jìn)而建立有效的攻擊鏈來(lái)構(gòu)成網(wǎng)絡(luò)空間的功能安全風(fēng)險(xiǎn)或威脅。

內(nèi)生安全理論指出，網(wǎng)絡(luò)空間安全的三要素為動(dòng)態(tài)性、多樣性、冗余性。動(dòng)態(tài)性可為網(wǎng)絡(luò)空間帶來(lái)不確定性，從而提高攻擊難度；多樣性也稱異構(gòu)性，它可為網(wǎng)絡(luò)空間帶來(lái)非相似性，從而使攻擊者無(wú)法簡(jiǎn)單地將某目標(biāo)成功的攻擊經(jīng)驗(yàn)直接應(yīng)用到相似目標(biāo)的攻擊中；冗余性可為網(wǎng)絡(luò)空間帶來(lái)可靠性，從而確保網(wǎng)絡(luò)空間部分組件被攻破時(shí)仍能正確提供網(wǎng)絡(luò)服務(wù)。

綜上所述，目前網(wǎng)絡(luò)彈性對(duì)系統(tǒng)開發(fā)的可操作性缺乏顯而易見的指導(dǎo)，而內(nèi)生安全理論能夠提供賦能網(wǎng)絡(luò)彈性工程框架的新思路。圍繞構(gòu)建優(yōu)良的網(wǎng)絡(luò)彈性系統(tǒng)架構(gòu)這一核心問題，本文提出內(nèi)生安全賦能網(wǎng)絡(luò)彈性統(tǒng)領(lǐng)性架構(gòu)，并分析其如何感知和抵御未知威脅。

2 內(nèi)生安全系統(tǒng)架構(gòu)賦能

2.1 系統(tǒng)架構(gòu)是網(wǎng)絡(luò)彈性的基石

在網(wǎng)絡(luò)彈性工程領(lǐng)域，MITRE(The MITRE Corporation)、NIST(National Institute of Standards and Technology)等組織對(duì)系統(tǒng)架構(gòu)設(shè)計(jì)同樣給予了高度關(guān)注，彈性架構(gòu)(Resilient Architectures)被認(rèn)為是網(wǎng)絡(luò)空間安全領(lǐng)域的五個(gè)硬問題之一[8]。

NIST給出的網(wǎng)絡(luò)彈性工程框架如圖1所示，其主要方法是首先定義網(wǎng)絡(luò)彈性的目的(Goals)，再將目的逐步細(xì)化為目標(biāo)(Objectives)、子目標(biāo)(Sub-objectives)、行動(dòng)或能力(Activities/Capabilities)。進(jìn)一步，通過(guò)定義技術(shù)方法來(lái)支撐各個(gè)行動(dòng)或能力，通過(guò)行動(dòng)或能力的達(dá)成，支撐網(wǎng)絡(luò)彈性目的實(shí)現(xiàn)。然而，正如第二章中所述，NIST給出的網(wǎng)絡(luò)彈性工程框架看似豐富，實(shí)則缺乏整體性，其提供的各種網(wǎng)絡(luò)彈性技術(shù)方法、設(shè)計(jì)原則需根據(jù)具體情況“選擇性”使用，缺乏整體架構(gòu)的設(shè)計(jì)考量。從系統(tǒng)工程的角度而言，系統(tǒng)組件和系統(tǒng)整體之間并非是簡(jiǎn)單的疊加關(guān)系，網(wǎng)絡(luò)彈性系統(tǒng)層面的關(guān)鍵能力必須通過(guò)系統(tǒng)架構(gòu)設(shè)計(jì)獲得。如圖2所示，組件的各項(xiàng)能力應(yīng)先由架構(gòu)進(jìn)行統(tǒng)一，然后再考察系統(tǒng)架構(gòu)的能力是否滿足彈性的各項(xiàng)目標(biāo)。因此，本文基于內(nèi)生安全理論提出一種新的動(dòng)態(tài)異構(gòu)冗余架構(gòu)，一方面能夠有效抑制未知的網(wǎng)絡(luò)威脅或攻擊，另一方面能夠整體性滿足預(yù)防、抵御、恢復(fù)、適應(yīng)網(wǎng)絡(luò)彈性四大目的核心內(nèi)涵，為破解網(wǎng)絡(luò)彈性體系結(jié)構(gòu)硬難題提供了帶引領(lǐng)性、根本性和全局性的架構(gòu)創(chuàng)新方案。

圖1 NIST網(wǎng)絡(luò)彈性工程框架示意

圖2 基于系統(tǒng)架構(gòu)的網(wǎng)絡(luò)彈性工程示意

2.2 內(nèi)生安全DHR架構(gòu)

如1.2節(jié)中所述，內(nèi)生安全DHR構(gòu)造同時(shí)具備動(dòng)態(tài)、異構(gòu)、冗余三個(gè)特性，并且具備反饋控制、執(zhí)行體清洗等機(jī)制來(lái)消除執(zhí)行體記憶，這樣的構(gòu)造能夠?qū)崿F(xiàn)網(wǎng)絡(luò)空間內(nèi)生安全。

內(nèi)生安全DHR構(gòu)造的典型架構(gòu)如圖3所示。

圖3 內(nèi)生安全DHR架構(gòu)示意圖

內(nèi)生安全DHR構(gòu)造由輸入代理、異構(gòu)構(gòu)件集合、策略調(diào)度算法、執(zhí)行體集合和多模表決器組成。其中輸入由輸入代理分發(fā)到執(zhí)行體集合中的各個(gè)執(zhí)行體，執(zhí)行體根據(jù)策略調(diào)度算法從異構(gòu)構(gòu)件集合E中選取，形成執(zhí)行體集合A。異構(gòu)構(gòu)件集合由標(biāo)準(zhǔn)化的軟硬件模塊可以組合出 m 種功能等價(jià)的異構(gòu)構(gòu)件體(E1，E2，...，Em)，根據(jù)策略調(diào)度算法，系統(tǒng)從E中選出k個(gè)構(gòu)建體作為一個(gè)執(zhí)行體集合A=(A1，A2，...，An)。執(zhí)行體集合中的各個(gè)執(zhí)行體產(chǎn)生的輸出經(jīng)過(guò)多模表決器裁決生成系統(tǒng)輸出。若執(zhí)行體產(chǎn)生的輸出存在不一致，則觸發(fā)策略調(diào)度算法。我們將輸入代理和多模表決器也稱為“擬態(tài)括號(hào)”(Mimic Bracket，MB)。擬態(tài)括號(hào)內(nèi)通常是一個(gè)符合 IPO (Input-Process-Output) 模型的防護(hù)目標(biāo)集合，如圖4所示。

圖4 擬態(tài)IPO模型

內(nèi)生安全DHR架構(gòu)在保證服務(wù)集合功能不變條件下，引入基于多模裁決的策略調(diào)度和多維動(dòng)態(tài)重構(gòu)魯棒控制機(jī)制，賦予系統(tǒng)測(cè)不準(zhǔn)特性，使目標(biāo)系統(tǒng)在抑制廣義不確定擾動(dòng)方面具備可迭代收斂的動(dòng)態(tài)性、隨機(jī)性、多樣性。此外，執(zhí)行體之間需要執(zhí)行嚴(yán)格的隔離，以阻斷執(zhí)行體之間的協(xié)同途徑或盡可能地消除攻擊者可利用的同步、共享機(jī)制，最大限度地提高對(duì)軟硬件差模故障或隨機(jī)性失效的容忍度?？傊?，DHR架構(gòu)存在以下優(yōu)勢(shì)特性[6]。

1)安全問題降維變換。DHR能將這些種類繁多、看似雜亂無(wú)序的安全問題，通過(guò)系統(tǒng)架構(gòu)降維變換成能用概率工具表達(dá)的差模或共模性質(zhì)的簡(jiǎn)單問題，為利用成熟的容錯(cuò)糾錯(cuò)和自動(dòng)控制理論與技術(shù)解決或規(guī)避這些尋常性工程問題提供了基礎(chǔ)性的支撐。理論上，DHR構(gòu)造的網(wǎng)絡(luò)安全防御效果與是否知曉不確定擾動(dòng)原委弱相關(guān)甚至不相關(guān)，但這并不影響恰當(dāng)?shù)貙?dǎo)入人工智能和大數(shù)據(jù)等后臺(tái)分析處理功能，實(shí)現(xiàn)從“知其然”到“知其然也知所以然”的轉(zhuǎn)變。利用運(yùn)行日志、現(xiàn)場(chǎng)快照及異常狀態(tài)保留等記錄信息，借助日益成熟的智能化分析工具可針對(duì)性地發(fā)現(xiàn)或定位未知漏洞后門、病毒木馬以及相關(guān)攻擊資源與手段。

2)融合附加式安全技術(shù)。內(nèi)生安全DHR架構(gòu)不排斥傳統(tǒng)安全技術(shù)，而且與傳統(tǒng)安全技術(shù)結(jié)合可以獲得非線性的防御增益。比如，在部分或全部可重構(gòu)的執(zhí)行體中差異化地部署入侵隔離、檢測(cè)、預(yù)防等傳統(tǒng)手段，或者采用防火墻、蜜罐、沙箱、殺毒軟件、查補(bǔ)漏洞等多樣化的技術(shù)措施，或者應(yīng)用動(dòng)態(tài)化、虛擬化遷移以及加密認(rèn)證等主動(dòng)防御技術(shù)，其作用都是提高執(zhí)行體之間的異構(gòu)度，而異構(gòu)度的增加能給非配合環(huán)境下的協(xié)同攻擊帶來(lái)更大的不確定性，從而提高內(nèi)生安全DHR架構(gòu)發(fā)現(xiàn)攻擊的概率。表1展示了DHR賦能網(wǎng)絡(luò)彈性工程框架的設(shè)計(jì)原則和技術(shù)方法。DHR架構(gòu)的作用在于，整合了動(dòng)態(tài)性、多樣性、冗余性等相關(guān)技術(shù)方法、設(shè)計(jì)原則，提供了一般性的指導(dǎo)架構(gòu)。

表1 DHR賦能網(wǎng)絡(luò)彈性工程框架的設(shè)計(jì)原則和技術(shù)方法

2.3 未知威脅的感知與抵御

現(xiàn)有網(wǎng)絡(luò)彈性工程的基本思維視角是高級(jí)持續(xù)威脅(APT)難以檢測(cè)，只能盡量采用事先多做預(yù)防(如減少攻擊面、分割分段、嚴(yán)控訪問等)、事后盡快彌補(bǔ)恢復(fù)(冗余替換、重組、轉(zhuǎn)移等)的策略，在系統(tǒng)任務(wù)和業(yè)務(wù)執(zhí)行過(guò)程中加強(qiáng)對(duì)任務(wù)和業(yè)務(wù)功能及性能指標(biāo)異常的靈敏性、全面性監(jiān)測(cè)，以便盡快觸發(fā)異常處理和恢復(fù)進(jìn)程。典型的網(wǎng)絡(luò)彈性工程期望愿景如圖5所示，系統(tǒng)在監(jiān)測(cè)到功能性能指標(biāo)下降后及時(shí)啟動(dòng)修復(fù)進(jìn)程使得任務(wù)和業(yè)務(wù)能持續(xù)運(yùn)行。

圖5 傳統(tǒng)網(wǎng)絡(luò)彈性功能破壞和恢復(fù)演變示意

為了更好地刻畫高級(jí)持續(xù)威脅攻擊的進(jìn)程，可以用網(wǎng)絡(luò)攻擊鏈?zhǔn)疽鈭D的方式給出各個(gè)攻擊階段的劃分，如圖6所示。

圖6 典型的網(wǎng)絡(luò)攻擊鏈?zhǔn)疽鈭D

為更直觀地展示現(xiàn)有網(wǎng)絡(luò)彈性的不足，我們?cè)趫D6代表的典型網(wǎng)絡(luò)彈性演變圖中增加網(wǎng)絡(luò)攻擊的進(jìn)展標(biāo)注，使得網(wǎng)絡(luò)彈性圖既顯示功能性能演變更揭示網(wǎng)絡(luò)攻擊進(jìn)程演變，如圖7所示。

圖7 現(xiàn)有網(wǎng)絡(luò)彈性缺乏對(duì)APT攻擊本身的早期感知能力

事實(shí)上，圖7顯示網(wǎng)絡(luò)攻擊是因，任務(wù)/業(yè)務(wù)功能性能異常是果，上半部分的紅色虛線顯示網(wǎng)絡(luò)攻擊歷經(jīng)偵察、武器化(利用對(duì)方系統(tǒng)缺陷設(shè)計(jì)攻擊手段)、投遞、利用、控制等潛伏過(guò)程，到執(zhí)行階段爆發(fā)，導(dǎo)致相應(yīng)的任務(wù)/業(yè)務(wù)功能性能異常，觸發(fā)網(wǎng)絡(luò)彈性干預(yù)和恢復(fù)機(jī)制，待任務(wù)/業(yè)務(wù)功能性能恢復(fù)后，可能反映出上一波網(wǎng)絡(luò)攻擊維持階段的終止，同時(shí)下一波網(wǎng)絡(luò)攻擊又在醞釀，可能是以更隱蔽更進(jìn)化的方式。DHR架構(gòu)打破了傳統(tǒng)上多樣性、冗余性僅僅提供資源備份、替補(bǔ)修復(fù)的能力假設(shè)，通過(guò)異構(gòu)性冗余配置的交叉驗(yàn)證提供了前所未有的對(duì)“未知的未知”網(wǎng)絡(luò)攻擊的超強(qiáng)感知能力。同時(shí)，DHR架構(gòu)中的策略裁決也兼具對(duì)任務(wù)/業(yè)務(wù)功能性能指標(biāo)的靈敏感知能力，這樣DHR架構(gòu)就很好地把傳統(tǒng)網(wǎng)絡(luò)彈性的任務(wù)/業(yè)務(wù)運(yùn)行狀態(tài)感知和內(nèi)生安全網(wǎng)絡(luò)攻擊感知無(wú)縫的結(jié)合到一起，為支撐內(nèi)生安全網(wǎng)絡(luò)彈性思維視角提供了技術(shù)架構(gòu)基礎(chǔ)支撐。這種賦能可以將圖7中未感知到的紅色攻擊線轉(zhuǎn)變?yōu)閳D8中可感知到的綠色攻擊線。由圖8可直觀地看到，以綠線表示的對(duì)手多次嘗試的APT攻擊被扼制在攻擊的早期(也就大大威懾了對(duì)手發(fā)起后續(xù)攻擊的意愿)，以黑藍(lán)色線表示的系統(tǒng)功能性能曲線始終維持平穩(wěn)，避免大的起落，可更好地避免系統(tǒng)任務(wù)和業(yè)務(wù)功能性能的異常。

圖8 具備對(duì)“未知的未知”攻擊檢測(cè)防御的網(wǎng)絡(luò)彈性演變

2.4 DVR完全交集賦能網(wǎng)絡(luò)彈性工程設(shè)計(jì)實(shí)現(xiàn)

網(wǎng)絡(luò)彈性工程建立于系統(tǒng)安全工程之上，并借鑒吸收了可靠性、可生存性、容錯(cuò)性、彈性工程、通信網(wǎng)絡(luò)彈性、關(guān)鍵基礎(chǔ)設(shè)施系統(tǒng)彈性、應(yīng)急保障等相關(guān)領(lǐng)域的概念和技術(shù)。然而，如何將上述概念、技術(shù)和方法集成到彈性系統(tǒng)中從而實(shí)現(xiàn)未知威脅的感知和抵御、如何將來(lái)自不同專業(yè)學(xué)科的設(shè)計(jì)原則結(jié)合成網(wǎng)絡(luò)彈性的普適性原則等問題仍缺少系統(tǒng)性的研究。下文將基于內(nèi)生安全理論，為支撐網(wǎng)絡(luò)彈性工程的設(shè)計(jì)原則交互、各類專業(yè)學(xué)科相關(guān)技術(shù)和方法的再適配再創(chuàng)新提供理論指引。

針對(duì)網(wǎng)絡(luò)空間未知威脅問題，內(nèi)生安全理論提出了DVR交集原理。原理指出，在不依賴先驗(yàn)知識(shí)的條件下，只要DVR三者間不完全相交，就無(wú)法防范網(wǎng)絡(luò)空間未知安全威脅問題[7]。例如，對(duì)于DV交集來(lái)說(shuō)(典型技術(shù)實(shí)踐包括移動(dòng)目標(biāo)防御，MTD)，多樣化目標(biāo)對(duì)象中只要存在一個(gè)防御者未知的后門，通過(guò)內(nèi)外協(xié)同方式，攻擊者至少可以達(dá)成竊取或篡改敏感信息的攻擊目的；對(duì)于VR交集來(lái)說(shuō)(典型技術(shù)實(shí)踐包括非相似余度構(gòu)造，DRS)，如果多個(gè)冗余體上分布存在攻擊者已知但防御者未知的漏洞后門時(shí)，攻擊者可以采用逐個(gè)“爆破”或逐個(gè)“滲透”的方式，實(shí)現(xiàn)對(duì)系統(tǒng)整體的攻擊。

圖9列出了NIST給出的14項(xiàng)技術(shù)和14個(gè)設(shè)計(jì)原則在DVR域的映射結(jié)果?？梢钥闯?，現(xiàn)有網(wǎng)絡(luò)彈性框架中的設(shè)計(jì)原則與技術(shù)均沒有落在DVR完全交集之內(nèi)。因此，當(dāng)前的網(wǎng)絡(luò)彈性框架給出了分別涉及動(dòng)態(tài)性、多樣性和冗余性的多項(xiàng)設(shè)計(jì)原則和技術(shù)，但是，由于缺乏將動(dòng)態(tài)性、多樣性和冗余性三者有機(jī)融合的架構(gòu)和技術(shù)，現(xiàn)有的網(wǎng)絡(luò)彈性框架并不能解決網(wǎng)絡(luò)空間未知安全威脅問題。然而，如果一種構(gòu)造或算法同時(shí)具備動(dòng)態(tài)性(D)、多樣性(V)和冗余性(R)三要素的完全相交表達(dá)(如DHR架構(gòu))，則即使在缺乏先驗(yàn)知識(shí)條件下，也能有效應(yīng)對(duì)基于構(gòu)造內(nèi)任何未知漏洞后門、病毒木馬等的差模攻擊，以及隨機(jī)性或不確定性因素引發(fā)的差模性質(zhì)擾動(dòng)造成的功能失效影響。此時(shí)，一個(gè)信息物理系統(tǒng)中的未知安全威脅，不論是否源于隨機(jī)性或不確定性攝動(dòng)，還是源于人為或非人為因素?cái)_動(dòng)，都可以表達(dá)為DVR域上差?；蚬材Ｐ再|(zhì)問題。綜上所述，內(nèi)生安全理論成果從正反兩個(gè)方面為借鑒其它專業(yè)學(xué)科的理論和技術(shù)構(gòu)建年輕的網(wǎng)絡(luò)彈性工程學(xué)科提供了理論指引，同時(shí)，也為內(nèi)生安全架構(gòu)賦能抵御未知威脅提供了理論基礎(chǔ)。

圖9 NIST網(wǎng)絡(luò)彈性設(shè)計(jì)原則和技術(shù)在DVR域的映射

3 總結(jié)

自2010年MITRE提出最初概念至今，網(wǎng)絡(luò)彈性已走過(guò)了十余年的發(fā)展歷程，然而，當(dāng)前網(wǎng)絡(luò)彈性工程仍存在“缺乏一體化架構(gòu)支撐技術(shù)”“回避未知攻擊挑戰(zhàn)”等問題。本文針對(duì)上述問題闡明了內(nèi)生安全構(gòu)造賦能網(wǎng)絡(luò)彈性的主要優(yōu)勢(shì)，結(jié)論總結(jié)如下：

1)系統(tǒng)架構(gòu)是網(wǎng)絡(luò)彈性的基石，網(wǎng)絡(luò)彈性工程應(yīng)遵循“結(jié)構(gòu)決定性質(zhì)、整體大于部分之和”的基本原理，首先關(guān)注系統(tǒng)架構(gòu)設(shè)計(jì)；

2)DHR架構(gòu)能夠?qū)鹘y(tǒng)網(wǎng)絡(luò)彈性的任務(wù)/業(yè)務(wù)運(yùn)行狀態(tài)感知和內(nèi)生安全網(wǎng)絡(luò)攻擊感知結(jié)合起來(lái)，拓展網(wǎng)絡(luò)彈性防御的思維視角，同時(shí)為網(wǎng)絡(luò)彈性工程提供理論指引。